web-dev-qa-db-ja.com

SOHO-問題のあるユーザーからのビットトレントトラフィックを抑制します

私は小さなオフィスでネットワークを管理しており(SW devは私の「本当の仕事」です)、bittorrentを実行してインターネット接続を打ち負かすユーザーが何人かいます。アップロード側のほとんど壊滅的な影響(20Mbps)と潜在的な責任の間で、私はこれを可能な限りシャットダウンしたいと思います。

質問や提案を見越していくつかの簡単な詳細:

  • 最新のDD-WRTを実行する2台のルーター(1台のLinksys、1台のBuffalo)と、最新のファクトリーソフトウェアを実行する1台のD-LinkDIR-655があります。

  • インターネットはFiOS20/20プランです

  • ユーザーはWiFiと有線で接続し、全員がDHCPを使用します

  • 本当に確実にトリックを実行する新しいハードウェア(たとえば<$ 1000)を取得することはオプションです

  • インターネットの使用ポリシーはありますが、ルールに従えない人もいることは誰もが知っているので、ITを介して可能な限り適用したいと思います。はい、私はこれに対処することが社会問題であることを知っていますが、この部分は私の権限/制御の範囲外です。

  • 一般的な戦略(MAC/IPによるアクセスの完全なブロック、ポートのブロックなど)は機能しません。少なくとも2人は、イーサネットインターフェイスでMACアドレスを定期的に再プログラムします。

BTクライアントは他のポートを使用するように構成できることを理解しているので、標準のBTポート範囲をブロックするだけでは不十分です。

私がこの猫の皮を剥ぐ最初の人だとは信じられません。あるいは、IT部門だけかもしれません。設備の予算が大きいと、この猫の皮を剥ぐことができますか?

ご協力いただきありがとうございます!

8
Dan

説明されているように、DD-WRTのものでQoSを有効にします ここ 。すべての非ポート-80/22/25/IMAP/POPトラフィックをごくわずかな帯域幅に制限し、それらのポートでさえ2Mb/s程度の妥当なものに制限します。

次に、問題のあるユーザーに何をすべきかについてのアイデアについて、 [〜#〜] bofh [〜#〜] を読んでください。

4
pjz

そうです、それは本当に経営者が取り組む必要のある社会問題です。特定の人々がネットワークに影響を与えて他の人々に問題を引き起こしている場合、彼らはそれに対処し、それを維持した場合の結果がどうなるかを説明する必要があります。 NICのMACアドレスを再プログラミングしますか?正当な必要がない場合は、wifiルーターとネットワークスイッチをロックダウンして、特定のMACアドレスからの接続のみを受け入れることを検討してください。変更するとネットワークに接続できなくなり、ボーダールーターでいきなりMACアドレスのフィルタリング・制限が可能になります。

非標準ポートのトラフィックシェーピングを使用して、標準http、ftp、smtpなどを除くすべてのポートで使用可能な帯域幅の量を減らすこともできます。非標準アプリケーションで使用可能な帯域幅の量を減らすと、それらはあまり望ましくなくなります。 。

ボーダールーター/ファイアウォールのもう1つのオプションは、特定のポートのみをアウトバウンドトラフィックに許可し、標準ポートに限定することです。これは、環境によっては実用的である場合とそうでない場合があります。

4
Justin Scott

その小さなオフィスが従業員に苦痛を与えるか懲戒処分に直面するのをやめるように言った場合、小さなオフィスのトラフィックシェーピングにお金/時間を費やすのはばかげているようです...あなたが言及していない特別な状況がない限り。

あなたのオフィスのマネージャーは、なぜ彼らの従業員が会社の時間にbittorentをセットアップしたり、MACアドレスを変更したりする時間があるのか​​知りたいと思うでしょう...

2
Element

あなたが技術的なトリックに行き、社会的側面を無視するならば、悪者は制限を避けるために雑多なトリックを試みるでしょう。 BitTorrentトラフィックをマークして形成するものを実装すると、暗号化などの使用が開始されます。

あなたが社交的になり、悪者に怒鳴り始めると、あなたは彼らの敵になります。特にこれがあなたの主な仕事ではない場合。たとえば、上司を喜ばせるために制限していると思われるかもしれません。そして、あなたを憎む人々と日常的に働くことは悲しいことです。

暴力をほとんど伴わない非常に効果的なアプローチは、ネットワークの使用状況を監視することです。 mrtgのようなものを設定し、ネットワーク使用状況グラフをオフィスの誰もが公開できるようにします。したがって、誰かが遅いインターネットについて不平を言うとすぐに、帯域幅を浪費している人を探すために彼をそこに送ってください。

このようにして、帯域幅の占有と単独で戦う必要はありません。戦う必要すらありません。良いユーザーは悪いユーザーを食べます。

2
Anonymous

あなたがそれのために彼らを最初に叩く権限を持っておらず、そうする人々も喜んでいないなら、あなたはほとんど運が悪いです。はい、これに対処するための技術的な方法があります。問題のあるユーザーの少なくとも一部は、おそらく、あなたが試しているほとんどすべての技術的解決策を回避するのに十分な知識を持っているようです。さらに悪いことに、そのような人にとっては、あなたが立てた障害を回避する方法でそれを行う限り、(管理者の応答がなかったので)彼らが行うことができることを暗黙のうちに検証しました。

1
EBGreen

M0n0wall および pfSense を確認する必要があります。

PfSenseのトラフィックシェーピング機能の方が優れていると思います。それが私が提案するものです。

残念ながら、ドキュメントは非常に不足していますが、少し実験してみれば、理解するのは難しくありません。
ウィザードを実行して、作成されるルールから学習するだけです。また、これを確認してください トラフィックシェーピングガイド

これはあなたの社会問題を解決することも、規則を施行するための最終的な解決策になることもありませんが、それは良い中間点であると私は信じています。
より重要な他のすべてが影響を受けないようにしながら、帯域幅の使用を許可できます。

1
Carlos Lima

SquidのようなWebプロキシを検討しましたか?それは一つの選択肢かもしれません。私は、大きな男の子がパケットレベルでフィルタリングできることを知っています。

これに対抗する別の方法は、インストールされているものまで、各ワークステーション/ラップトップの期間スキャンを実行することです。 BitTorrentクライアントが表示され、ユーザーにフラグを立てます。次の場所でレジストリにクエリを実行することで、簡単なスクリプトを作成できます。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall \

1
K. Brian Kelley

それらのマシンをロックダウンします-管理者権限を削除します。彼らは甘やかされて育った子供のように振る舞っています、そしてあなたが本当にできる唯一のことは彼らをそのように扱うことです。

1
Kara Marfia

技術的な解決策の理由は、通常、それを実行しているのは管理タイプであるためです。
これはセキュリティの問題と同じです。最も機密性の高いデータを持っているのは、パスワードを気にせず、暗号化されていない空港のWi-FiにログオンしているときにYahooから機密メールを送信し、ラップトップを紛失する問題です。
ルールを強制することはできないので(ルールを作成します)、唯一の解決策は彼らが知らないものです。

0
Martin Beckett

Cisco 871wのようなSOHOルータには、ディープパケットインスペクションを実行する機能があります。他のトラフィックに影響を与えることなく、すべてのポートでP2Pを拒否できます。

インスタントメッセージング、RDPなどにも同じことが言えます。一部のインスタントメッセージングクライアントは、ブロックする可能性が低いポート80(HTTP)を介して送信するように構成できます。ただし、Cisco 871wのようなルータは、実際にはOSIモデルの上位レベルで動作し、ポート80を通過するトラフィックがHTTPまたはその他のプロトコルであるかどうかを検出できます。

0
Jim March

高度なユーザーには機能しませんが、c:\ Windows\system32\etc\hostsにダミーのエントリを配置して、特定のユーザーをサイトからブロックしたことがあります。

0
cagcowboy